Windows Server
United States - English
Homepage
Windows Server "8" Beta
2008
2003
Library
Foren
0 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Unterstützung von Zertifikaten und die daraus resultierende Internetkommunikation unter Windows Server 2008

Betrifft: Windows Server 2008

Inhalt dieses Abschnitts

Vorteile und Zweck der Zertifikatsfunktion

Übersicht: Verwenden der Zertifikatsfeatures in einer verwalteten Umgebung

Kommunikation des Features zur Aktualisierung von Stammzertifikaten mit Websites im Internet

Steuern des Features zur Aktualisierung von Stammzertifikaten zur Begrenzung des Informationsaustauschs mit dem Internet

Verfahren für das Anzeigen oder Ändern von Gruppenrichtlinieneinstellungen für Zertifikate unter Windows Server 2008

Weitere Verweise

Vorteile und Zweck der Zertifikatsfunktion

Zertifikate und die Public Key-Infrastrukturen (PKIs) für deren Ausstellung und Verwaltung ermöglichen die Authentifizierung und den verschlüsselten Austausch von Informationen in offenen Netzwerken wie dem Internet, in Extranets und in Intranets. Ein Zertifikat ist eine digital signierte Anweisung, die den Wert eines öffentlichen Schlüssels an die Identität der Person, des Geräts oder des Diensts bindet, für die der zugehörige private Schlüssel gilt. Mithilfe von Zertifikaten können Hostcomputer im Internet eine Vertrauensstellung zu einer Zertifizierungsstelle (Certification Authority, CA) herstellen, die Personen und Ressourcen, die über private Schlüssel verfügen, zertifiziert. Letztendlich basiert die Vertrauensstellung einer PKI auf einem Stammzertifikat, d. h. einem Zertifikat, das von einer Zertifizierungsstelle auf der obersten Ebene der Public Key-Hierarchie ausgestellt wurde und damit eine hinlängliche Stufe der Integrität und Sicherheit für die Hierarchie gewährleistet.

Zertifikate werden z. B. bei folgenden Benutzeraktionen verwendet:

  • Verwenden eines Browsers zur Teilnahme an einer SSL-Sitzung (Secure Sockets Layer)

  • Annehmen eines Zertifikats nach Aufforderung bei der Installation von Software

  • Annehmen eines Zertifikats nach Aufforderung beim Empfangen einer verschlüsselten oder digital signierten E-Mail-Nachricht

Bei der Beschäftigung mit Public Key-Infrastrukturen ist es besonders wichtig, zu wissen, wie Zertifikate ausgestellt und validiert werden und wie sie ablaufen oder gesperrt werden (falls sie vor dem Ablaufen für ungültig erklärt werden müssen). Dies ermöglicht ein besseres Verständnis der Bedeutung aktueller Informationen zu Zertifikatsperren, wenn beispielsweise eine Anwendung überprüfen möchte, ob ein bestimmtes Zertifikat zurzeit als vertrauenswürdig gilt. Sie können diese Informationen zu Zertifikatsperren mithilfe von Zertifikatsperrlisten verwalten und verteilen oder mit Onlineantwortdiensten auf Grundlage des OCSP (Online Certificate Status Protocol). Anwendungen, denen ein Zertifikat vorgelegt wird, können Kontakt zu einer Website im Intranet oder im Internet herstellen, um Informationen zu Zertifizierungsstellen und auch zu Zertifikatsperren abzurufen.

Wenn auf den Servern in Ihrer Organisation Windows Server 2008 ausgeführt wird, stehen Ihnen verschiedene Möglichkeiten für die Handhabung von Zertifikaten und Zertifikatsperren zur Verfügung. Weitere Informationen zu diesen Optionen finden Sie weiter unten in diesem Abschnitt unter Weitere Verweise.

Beachten Sie auch, dass Sie die Richtlinien öffentlicher Schlüssel mithilfe der Gruppenrichtlinien unter Windows Server 2008 auf noch präzisere Weise als unter Windows Server 2003 und früheren Versionen von Windows steuern können. Weitere Informationen finden Sie weiter unten in diesem Abschnitt unter Verfahren für das Anzeigen oder Ändern von Gruppenrichtlinieneinstellungen für Zertifikate unter Windows Server 2008.

Das Feature zur Aktualisierung von Stammzertifikaten unter Windows Server 2008

Das Feature zur Aktualisierung von Stammzertifikaten in Windows Server 2008 überprüft automatisch die Liste der vertrauenswürdigen Zertifizierungsstellen auf der Windows Update-Website, sofern eine solche Überprüfung für eine Anwendung auf dem Server benötigt wird. Insbesondere in Fällen, bei denen einer Anwendung ein Zertifikat vorgelegt wird, das von einer Zertifizierungsstelle in einer PKI ausgestellt wurde, zu der keine direkte Vertrauensstellung besteht, fragt das Feature zur Aktualisierung von Stammzertifikaten (sofern es nicht deaktiviert wurde) die Windows Update-Website ab, um Informationen darüber zu erhalten, ob Microsoft das Zertifikat dieser Stammzertifizierungsstelle der Liste vertrauenswürdiger Stammzertifikate hinzugefügt hat. Wenn die Zertifizierungsstelle in der Liste vertrauenswürdiger Zertifizierungsstellen von Microsoft enthalten ist, wird ihr Zertifikat automatisch den vertrauenswürdigen Stammzertifikaten auf dem Server hinzugefügt.

Sie können das Feature zur Aktualisierung von Stammzertifikaten mithilfe von Gruppenrichtlinien in Windows Server 2008 deaktivieren. Weitere Informationen finden Sie weiter unten in diesem Abschnitt unter Verfahren für das Anzeigen oder Ändern von Gruppenrichtlinieneinstellungen für Zertifikate unter Windows Server 2008.

Übersicht: Verwenden der Zertifikatsfeatures in einer verwalteten Umgebung

Wenn auf den Servern in Ihrer Organisation Windows Server 2008 ausgeführt wird, stehen Ihnen verschiedene Möglichkeiten für die Handhabung von Zertifikaten zur Verfügung. Sie können z. B. innerhalb Ihrer eigenen Organisation eine vertrauenswürdige Stammzertifizierungsstelle einrichten. Der erste Schritt für das Einrichten einer vertrauenswürdigen Stammzertifizierungsstelle ist die Installation der Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS), einer Serverrolle in Windows Server 2008. In einem weiteren Schritt können Sie den AD CS-Online-Responder-Dienst installieren, der auf einzelne Clientanforderungen für Informationen zu Zertifikatsperren antwortet. Sie sollten sich zur Implementierung einer Public Key-Infrastruktur auch über Gruppenrichtlinien informieren, da diese auch für Zertifikate gelten. Weitere Informationen zu Gruppenrichtlinien und den verschiedenen Rollendiensten der AD CS-Serverrolle finden Sie weiter unten in diesem Abschnitt unter Weitere Verweise.

Wenn Sie in Ihrer Organisation eine Zertifizierungsstelle konfigurieren, geben die von ihr ausgegebenen Zertifikate einen Ort Ihrer Wahl für das Abrufen weiterer Beweise für die Validierung an. Dabei kann es sich um einen Webserver oder ein Verzeichnis innerhalb Ihrer Organisation handeln. Es ist im Rahmen dieses Whitepapers nicht möglich, sämtliche Details zur Arbeit mit Zertifizierungsstellen, Stammzertifikaten, Zertifikatsperren und anderen Aspekten von Public Key-Infrastrukturen zu behandeln, daher finden Sie in diesem Abschnitt eine Liste mit konzeptionellen Informationen zu Zertifikaten und weiter unten unter Weitere Verweise eine Liste mit Links.

Im Folgenden finden Sie einige der Konzepte, die im Zusammenhang mit Zertifikaten von Bedeutung sind:

  • Zertifikate und der X.509 V3-Standard (der am häufigsten verwendete Standard für das Definieren digitaler Zertifikate) sowie die Public Key-Infrastruktur für X.509 (PKIX). PKIX wird in RFC 3280 beschrieben. Sie finden diesen RFC über eine Suche auf der IETF-Website (Internet Engineering Task Force, möglicherweise in englischer Sprache) unter:

    http://go.microsoft.com/fwlink/?LinkID=29138

    Weitere Informationen zu PKIX finden Sie auf der IETF-Website (Internet Engineering Task Force, möglicherweise in englischer Sprache) unter:

    http://go.microsoft.com/fwlink/?LinkId=29924

  • Standardprotokolle im Zusammenhang mit Zertifikaten, z. B. TLS (Transport Layer Security), SSL (Secure Sockets Layer) und S/MIME (Secure Multipurpose Internet Mail Extensions)

  • Verschlüsselungsschlüssel und ihre Generierung

  • Zertifizierungsstellen, einschließlich des Konzepts einer Hierarchie von Zertifizierungsstellen und einer Offline-Stammzertifizierungsstelle

  • Zertifikatsperrung

In mittleren bis großen Organisationen können Sie, um eine maximale Steuerung der Internetkommunikation zu erzielen, die Liste der Zertifizierungsstellen selbst verwalten. Dazu können Sie mithilfe von Gruppenrichtlinien das Feature zur Aktualisierung von Stammzertifikaten in Windows Server 2008 deaktivieren und dann die Einstellungen für Richtlinien öffentlicher Schlüssel konfigurieren.

Kommunikation des Features zur Aktualisierung von Stammzertifikaten mit Websites im Internet

In diesem Unterabschnitt wird die Kommunikation des Features zur Aktualisierung von Stammzertifikaten mit Websites im Internet beschrieben. Im vorhergehenden Unterabschnitt Übersicht: Verwenden der Zertifikatsfeatures in einer verwalteten Umgebung finden Sie eine Übersicht über einige der Rollendienste der AD CS-Serverrolle, die zum Teil auch die Kommunikation mit Websites im Internet betreffen. Weitere Informationen zu diesen und anderen Rollendiensten der AD CS-Serverrolle finden Sie weiter unten in diesem Abschnitt unter Weitere Verweise.

Wenn das Feature zur Aktualisierung von Stammzertifikaten nicht mithilfe von Gruppenrichtlinien deaktiviert wurde und der Anwendung auf Ihrem Server ein Zertifikat von einer Zertifizierungsstelle, zu der keine direkte Vertrauensstellung besteht, vorgelegt wird, kommuniziert das Feature zur Aktualisierung von Stammzertifikaten auf folgende Weise über das Internet:

  • Gesendete oder empfangene Informationen: Das Feature zur Aktualisierung von Stammzertifikaten fordert von der Windows Update-Website die aktuelle Liste der Stammzertifizierungsstellen aus dem Microsoft-Programm für Stammzertifikate an. Wenn die Stammzertifizierungsstelle, zu der keine direkte Vertrauensstellung besteht, in der Liste enthalten ist, ruft das Feature zur Aktualisierung von Stammzertifikaten das Zertifikat dieser Stammzertifizierungsstelle ab und speichert es auf dem Server im Zertifikatspeicher für vertrauenswürdige Zertifikate. Bei diesem Austausch ist keine Authentifizierung oder Identifikation eines Administrators oder Benutzers erforderlich.

  • Standardeinstellungen und Möglichkeiten der Deaktivierung: Das Feature zur Aktualisierung von Stammzertifikaten ist in Windows Server 2008 standardmäßig aktiviert. Sie können dieses Feature mithilfe von Gruppenrichtlinien deaktivieren. Weitere Informationen finden Sie weiter unten in diesem Abschnitt unter Verfahren für das Anzeigen oder Ändern von Gruppenrichtlinieneinstellungen für Zertifikate unter Windows Server 2008.

  • Trigger und Benutzerbenachrichtigung: Das Feature zur Aktualisierung von Stammzertifikaten wird gestartet, wenn einem Administrator oder Benutzer des Computers ein Zertifikat einer Stammzertifizierungsstelle, die nicht als direkt vertrauenswürdig gilt, vorgelegt wird. Die Benutzer werden nicht benachrichtigt.

  • Protokollierung: Die Ereignisse werden in der Ereignisanzeige in Windows-Protokolle\Anwendung protokolliert, wobei CAPI2 als Quelle angegeben wird. Es werden z. B. Ereignisse mit folgenden Informationen aufgezeichnet:

    Für Ereignis-ID 7:

    Beschreibung: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von URL_der_Windows_Update_Website

    Für Ereignis-ID 8:

    Beschreibung: Die automatische Aktualisierung der Sequenznummer der Drittanbieterstammlisten von URL_der_Windows_Update_Website ist fehlgeschlagen mit dem Fehler: hexadezimaler_Fehlercode

  • Verschlüsselung, Speicherung und Datenschutz: Beim Senden der Anforderungen vom und der Zertifikate zum Feature zur Aktualisierung von Stammzertifikaten wird keine Verschlüsselung verwendet. Microsoft führt keine Nachverfolgung des Zugriffs auf die Liste der vertrauenswürdigen Zertifizierungsstellen auf der Windows Update-Website durch.

  • Übertragungsprotokoll und Port: Die Übertragung erfolgt per HTTP über den Port 80.

Steuern des Features zur Aktualisierung von Stammzertifikaten zur Begrenzung des Informationsaustauschs mit dem Internet

Wenn Sie verhindern möchten, dass das Feature zur Aktualisierung von Stammzertifikaten in Windows Server 2008 automatisch mit der Windows Update-Website kommuniziert, können Sie es mithilfe von Gruppenrichtlinien deaktivieren. Weitere Informationen finden Sie weiter unten in diesem Abschnitt unter "Deaktivieren des Features zur Aktualisierung von Stammzertifikaten mithilfe von Gruppenrichtlinien".

Auswirkungen der Deaktivierung des Features zur Aktualisierung von Stammzertifikaten auf Benutzer und Anwendungen eines Computers

Wenn einer Person auf dem Server ein Zertifikat von einer Zertifizierungsstelle, zu der keine direkte Vertrauensstellung besteht, vorgelegt wird und das Feature zur Aktualisierung von Stammzertifikaten mithilfe von Gruppenrichtlinien deaktiviert wurde, kann diese Person die Aktion, für die eine Authentifizierung erforderlich ist, möglicherweise nicht durchführen. Diese Person könnte z. B. daran gehindert werden, Software zu installieren, eine verschlüsselte oder digital signierte E-Mail-Nachricht anzuzeigen oder mit einem Webbrowser einer SSL-Sitzung beizutreten.

Verfahren für das Anzeigen oder Ändern von Gruppenrichtlinieneinstellungen für Zertifikate unter Windows Server 2008

In diesem Abschnitt werden folgende Verfahren beschrieben:

  • Deaktivieren des Features zur Aktualisierung von Stammzertifikaten mithilfe von Gruppenrichtlinien auf Computern unter Windows Server 2008

  • Anzeigen von Gruppenrichtlinien zum Steuern von Richtlinien öffentlicher Schlüssel für Computer unter Windows Server 2008

So deaktivieren Sie das Feature zur Aktualisierung von Stammzertifikaten mithilfe von Gruppenrichtlinien

  1. Lesen Sie bei Bedarf in Anhang B: Ressourcen mit Informationen zu Gruppenrichtlinien für Windows Server 2008 nach, und bearbeiten Sie dann das entsprechende Gruppenrichtlinienobjekt (Group Policy Object, GPO).

  2. Erweitern Sie nacheinander Computerkonfiguration, Richtlinien (sofern vorhanden), Administrative Vorlagen, System und Internetkommunikationsverwaltung, und klicken Sie dann auf Internetkommunikationseinstellungen.

  3. Doppelklicken Sie im Detailbereich auf Automatischer Update von Stammzertifikaten deaktivieren, und klicken Sie dann auf Aktiviert.

    ImportantWichtig
    Sie können auch den Internetzugriff für dieses und einige andere Features einschränken, indem Sie die Richtlinieneinstellung Internetkommunikation einschränken anwenden. Sie finden diese in Computerkonfiguration unter Richtlinien (sofern vorhanden) in Administrative Vorlagen\System\Internetkommunikationsverwaltung. Weitere Informationen zu dieser Gruppenrichtlinie und den darüber gesteuerten Richtlinien finden Sie in Anhang C: Die unter Windows Server 2008 unter der Kategorie Internetkommunikationsverwaltung aufgeführten Gruppenrichtlinieneinstellungen.

So zeigen Sie die Gruppenrichtlinien zum Steuern von Richtlinien öffentlicher Schlüssel für Windows Server 2008 an

  1. Weitere Informationen zur Verwendung von Gruppenrichtlinien finden Sie in Anhang B: Ressourcen mit Informationen zu Gruppenrichtlinien für Windows Server 2008. Melden Sie sich unter einem Konto mit Domänen-Administratoranmeldeinformationen auf einem Computer unter Windows Server 2008 (auf dem die Gruppenrichtlinienverwaltung installiert ist) oder Windows Vista an. Öffnen Sie anschließend die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), indem Sie gpmc.msc ausführen, und bearbeiten Sie das gewünschte Gruppenrichtlinienobjekt (Group Policy Object, GPO).

    noteHinweis
    Sie müssen dieses Verfahren mit der Gruppenrichtlinien-Verwaltungskonsole auf einem Computer unter Windows Server 2008 oder Windows Vista ausführen.

  2. Erweitern Sie nacheinander Computerkonfiguration, Richtlinien (sofern vorhanden), Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.

  3. Überprüfen Sie die verfügbaren Einstellungen.

  4. Erweitern Sie nacheinander Benutzerkonfiguration, Richtlinien (sofern vorhanden), Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.

  5. Überprüfen Sie die verfügbaren Einstellungen.

Weitere Informationen zur Verwendung von Gruppenrichtlinieneinstellungen für Zertifikate finden Sie auf der Website der Technischen Bibliothek für Windows Server 2008 (möglicherweise in englischer Sprache) unter:

http://go.microsoft.com/fwlink/?LinkId=106713

Weitere Verweise

In der folgenden Liste finden Sie Ressourcen zur Planung und Anpassung Ihrer Implementierung von Zertifikaten und der Public Key-Infrastruktur:

Weitere Informationen zu den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) und den Active Directory-Rechteverwaltungsdiensten (Active Directory Rights Management Services, AD RMS) finden Sie in diesem Whitepaper unter Active Directory-Dienste und die resultierende Internetkommunikation unter Windows Server 2008.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Community-Inhalt Hinzufügen
Anmerkungen FAQ